RadioCSIRT – Votre actu Cybersécurité du Vendredi 4 Avril 2025 (Ép. 245)

🎙️ Podcast Au programme aujourd’hui :🔹 Malware Triada préinstallé sur des smartphones Android contrefaitsDes appareils vendus comme neufs mais en réalité compromis en usine embarquent le malware Triada. Celui-ci permet l'installation silencieuse d'apps malveillantes, le vol de données et la génération de revenus par fraude publicitaire.📚 Source : https://thehackernews.com/2025/04/triada-malware-preloaded-on-counterfeit.html🔹 Stripe : exploitation d’une ancienne API pour valider frauduleusement des cartes bancairesDes cybercriminels utilisent une API Stripe dépréciée pour tester massivement la validité de cartes. Cette méthode de validation par micro-paiement cible principalement des services non protégés contre les attaques par enumeration.📚 Source : https://thehackernews.com/2025/04/legacy-stripe-api-exploited-to-validate.html🔹 Cisco alerte sur un compte admin backdoor dans CSLUUn compte administrateur non documenté dans Cisco Smart Licensing Utility (CSLU) est activement exploité. L’accès à ce compte permet une compromission complète de l’instance, avec élévation de privilèges.📚 Source : https://www.bleepingcomputer.com/news/security/cisco-warns-of-cslu-backdoor-admin-account-used-in-attacks/🔹 Verizon : faille dans l’API Call Filter exposant l’historique des appels entrantsUne vulnérabilité dans l’API du service Call Filter permettait d’accéder aux métadonnées d’appels entrants des clients Verizon, incluant numéro, date, et durée, sans authentification suffisante.📚 Source : https://www.bleepingcomputer.com/news/security/verizon-call-filter-api-flaw-exposed-customers-incoming-call-history/🔹 Hunters International : le groupe ransomware change de nom et de stratégieCe groupe issu d’une scission avec Hive opère désormais sous une nouvelle identité. Les attaques se recentrent sur des cibles industrielles, avec un usage accru d’outils personnalisés et d'accès initiaux achetés via infostealers.📚 Source : https://www.securityweek.com/hunters-international-ransomware-gang-rebranding-shifting-focus/🔹 Coquettte : nouveau malware modulaire diffusé par un hacker actif sur BreachForumsLe malware Coquettte, vendu sous forme de loader modulaire, se distingue par sa capacité à échapper aux sandbox et par son modèle économique orienté PhaaS. Il cible les systèmes Windows et inclut des fonctions de vol de données et de persistance.📚 Source : https://www.infosecurity-magazine.com/news/coquettte-hacker-malware-bph/🔹 Phishing massif ciblant les systèmes de péage électroniqueSunPass, E-ZPass et EZDrive sont au cœur de campagnes de phishing en forte hausse. Les SMS frauduleux redirigent vers de faux sites de paiement. Cette vague s’appuie sur des plateformes PhaaS comme Lucid, qui exploitent les canaux RCS et iMessage pour maximiser le taux de livraison.📚 Source : https://www.helpnetsecurity.com/2025/04/03/electronic-toll-collection-phishing/🎧 Vous aussi, partagez vos questions, remarques ou retours d’expérience, elles seront peut-être dans le prochain épisode !📞 Répondeur : 07 68 72 20 09📧 Email : [email protected]🎧 Abonnez-vous pour ne rien manquer sur Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music🌐 Site officiel : https://www.radiocsirt.org📰 Newsletter hebdomadaire : https://radiocsirt.substack.com